UA-51298262-10 Skip to main content
search
WordPress

Cómo forzar HTTPS en WordPress correctamente (paso a paso)

By mayo 12, 2026No Comments

Introducción: por qué forzar HTTPS en WordPress

Forzar HTTPS en WordPress ya no es un lujo. Es más bien una necesidad técnica que no deberías saltarte. Desde que Google anunció que HTTPS cuenta como factor de ranking, y los navegadores marcan como «no seguro» cualquier sitio HTTP, migrar y redirigir todo el tráfico a HTTPS se ha vuelto obligatorio. Pero ojo: hacerlo mal puede romper tu sitio. Contenido mixto, bucles de redirección, o pérdida de tráfico. En este artículo te explico los métodos probados para forzar HTTPS correctamente, sin errores y con total seguridad. Lo he visto hacer mal decenas de veces, y no es bonito.

Antes de empezar: requisitos y precauciones

Antes de aplicar cualquier cambio, asegúrate de tener un certificado SSL/TLS instalado y funcionando. Puedes verificarlo accediendo a tu dominio con https://. Si ves el candado verde, estás listo. Si no, contacta con tu proveedor de hosting o instala uno gratuito como Let’s Encrypt.

Y haz una copia de seguridad completa de tu sitio: archivos y base de datos. Un error en la redirección puede dejarte sin acceso. Si no sabes cómo hacerlo, en RedServicio (redservicio.net) ofrecemos asistencia profesional para backups y migraciones seguras. Créeme, no quieres aprender la lección a la mala.

Consejo clave: Nunca fuerces HTTPS sin haber probado primero que el certificado funciona. Accede a tu web escribiendo https://tudominio.com manualmente. Si ves errores, revisa la instalación del SSL antes de continuar. Parece obvio, pero te sorprendería la de gente que lo salta.

Método 1: Cambiar las URLs de WordPress en los ajustes

Este es el paso fundamental y a menudo olvidado. Ve a Ajustes > Generales en tu panel de administración de WordPress. Cambia los campos Dirección de WordPress (URL) y Dirección del sitio (URL) de http:// a https://. Guarda los cambios.

Después de esto, WordPress comenzará a generar enlaces HTTPS en el frontend y backend. Pero esto por sí solo no redirige el tráfico antiguo HTTP. Para eso necesitas los métodos siguientes. No te confíes.

Método 2: Redirección 301 con .htaccess (Apache)

Si tu servidor usa Apache (la mayoría de los hosting compartidos), edita el archivo .htaccess en la raíz de tu instalación de WordPress. Añade las siguientes líneas antes de la línea # BEGIN WordPress:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

Este código comprueba si la petición no es HTTPS y, si es así, redirige permanentemente (301) a la versión segura. Guarda el archivo y prueba accediendo a tu web con http://. Deberías ser redirigido automáticamente. A mí personalmente es el método que más me gusta: limpio, sin plugins.

Verificación

Usa herramientas como Redirect Checker o la consola de desarrollador del navegador (pestaña Network) para confirmar que la redirección es 301 y no 302. Una 302 no te sirve para SEO.

Método 3: Forzar HTTPS desde functions.php (desarrolladores)

Si prefieres evitar tocar .htaccess o tu servidor usa Nginx (donde .htaccess no funciona), puedes forzar HTTPS desde el propio WordPress. Añade este código al archivo functions.php de tu tema hijo (nunca en el tema padre):

add_action('template_redirect', function() {
    if (!is_ssl()) {
        wp_redirect('https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], 301);
        exit;
    }
});

Este hook se ejecuta en cada carga de página. Si la petición no es SSL, redirige con 301. Es una solución limpia, pero ten en cuenta que si hay algún plugin de caché, puede interferir. En RedServicio recomendamos esta opción solo cuando el método .htaccess no es viable. Yo prefiero siempre el .htaccess, pero cada cual.

Advertencia: Si añades este código y luego no puedes acceder al panel de administración (por ejemplo, si tu certificado falla), desactívalo temporalmente mediante FTP o el gestor de archivos del hosting, renombrando la carpeta del plugin o del tema. Es un lío, pero se soluciona.

Método 4: Usar un plugin de redirección SSL

Para usuarios menos técnicos, los plugins son una opción segura. Algunos de los más populares y fiables:

  • Really Simple SSL: Detecta automáticamente tu certificado y fuerza HTTPS, además de corregir contenido mixto. Actívalo y sigue su asistente.
  • SSL Insecure Content Fixer: Especializado en reparar contenido mixto (imágenes, scripts, hojas de estilo cargadas en HTTP).
  • WP Force SSL: Ligero, con opciones de redirección 301 y corrección de enlaces.

Estos plugins son ideales para sitios pequeños o cuando no quieres editar archivos manualmente. Pero ojo: un plugin más puede ralentizar tu web. El método .htaccess es más eficiente, sin duda. Si puedes, evita los plugins.

Corregir contenido mixto (Mixed Content)

Después de forzar HTTPS, es muy probable que algunos recursos (imágenes, CSS, JS) sigan cargándose con HTTP, lo que provoca que el navegador muestre el sitio como «no seguro» parcialmente. Para solucionarlo:

  1. Usa el plugin Better Search Replace (o Velvet Blues Update URLs) para buscar en la base de datos http://tudominio.com y reemplazar por https://tudominio.com. Hazlo con cuidado: primero prueba en una copia.
  2. Si usas temas o plugins que insertan URLs absolutas (por ejemplo, http:// en el código), deberás editarlos manualmente o contactar al desarrollador. Es un coñazo, pero hay que hacerlo.
  3. Para contenido dinámico (por ejemplo, imágenes subidas antes de migrar), el plugin SSL Insecure Content Fixer puede aplicar reglas de reescritura en caliente.

Comprueba el resultado con la herramienta Why No Padlock (why.nopadlock.org) o la consola de Chrome (pestaña Console, busca errores de Mixed Content). No te fíes solo del ojo.

Verificación final y pruebas

Una vez aplicados los cambios, realiza estas comprobaciones:

  • Accede a http://tudominio.com y confirma que redirige a https://tudominio.com con código 301.
  • Navega por varias páginas (incluyendo el panel de administración) y asegúrate de que el candado de seguridad aparece verde.
  • Usa Google Search Console para verificar la versión HTTPS y solicitar la indexación de las nuevas URLs.
  • Comprueba que los enlaces internos y externos siguen funcionando; especialmente los de redes sociales, Google Analytics y otros servicios.

Si encuentras algún error (por ejemplo, bucle de redirección), revisa si hay conflictos entre el .htaccess y el código de functions.php. Solo debe haber un método activo. Lo digo por experiencia: tener dos redirecciones a la vez es un caos.

Preguntas frecuentes

¿Qué hago si después de forzar HTTPS mi sitio no carga? Desactiva temporalmente la redirección: si añadiste código en functions.php, elimínalo mediante FTP; si fue en .htaccess, comenta las líneas añadidas con #. Luego verifica tu certificado SSL. No entres en pánico, es común.

¿Debo cambiar todas las URLs internas manualmente? No necesariamente. Con el reemplazo en base de datos y el plugin de contenido mixto se soluciona la mayoría. Pero las URLs escritas en plantillas (temas) deben corregirse a mano. Es tedioso, pero hay que hacerlo.

¿Afecta al SEO forzar HTTPS? Sí, positivamente. Google prefiere HTTPS y puede dar un pequeño impulso en rankings. Además, evitas la pérdida de tráfico por redirecciones incorrectas si lo haces bien. Así que no lo dejes para después.

Conclusión

Forzar HTTPS en WordPress correctamente requiere seguir una secuencia lógica: instalar el certificado, cambiar las URLs en los ajustes, aplicar una redirección 301 (preferiblemente vía .htaccess) y corregir el contenido mixto. No importa si eres principiante o experto, cualquiera de los métodos descritos funciona si se ejecuta con cuidado. Lo fundamental es hacer una copia de seguridad previa y probar cada paso. No te saltes ninguno.

Si en algún momento te sientes abrumado o tu sitio presenta problemas técnicos que no logras resolver, recuerda que en RedServicio (redservicio.net) contamos con profesionales especializados en hosting, WordPress y seguridad. Podemos ayudarte a migrar a HTTPS sin riesgos, optimizar el rendimiento y mantener tu web protegida. No dudes en contactarnos para cualquier consulta o asistencia técnica. A veces es mejor delegar.

Entradas relacionadas:

  1. Forzar HTTPS en todas las páginas con CloudFlare
  2. .htaccess error 500 en WordPress: Causas y solución rápida paso a paso
  3. WordPress | Activar o migrar tu web a HTTPS con certificado SSL
  4. Cómo instalar PrestaShop paso a paso
Close Menu

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies